一、摘要
Motivation
與pixel-wise 的擾動相比,高度稀疏的對抗攻擊是更加危險的,因爲更加不易被偵測到。
因此,本文的研究中心在於最小化對抗樣本與乾淨樣本之間的距離。
簡述本文工作
- intergrate additional bounds on the component-wise perturbation
- pixels change only in the region of high variation
- avoid changes along axis-aligned edgs
- adv training (adapt the PGD attack to the -norm integrating componentwise constraints.)
二、三種攻擊的對比
2.1. attack
所謂範數,指的是向量中不爲零的個數。
所謂範數約束,指的是約束向量中不爲零的個數的數量,但是並不控制不爲零的元素的絕對值大小。
使用這種方法進行攻擊可以約束攻擊的pixel的數量,使得攻擊更容易實現(因爲在現實世界中pixel-wise的擾動是不很現實的。相比之下,patch等局部擾動形式則更加現實,所謂我們希望能探究稀疏的攻擊。)。但是這種攻擊爲了保證攻擊成功往往對於單個pixel的擾動是非常大的以至於人類視覺可以察覺。
2.2. + attack
這種做法是在2.1.的基礎上加上一個無窮範數的約束來保證擾動比較小。但是這種方式的約束爲了保證在各種極端情況下的擾動對人眼來說都很小會要求有一個比較小的上限(比如在純色的區域,例如藍天,在這種區域進行擾動就必須讓擾動很小纔行),這又會損害攻擊性能。
2.3.-map attack (this paper)
本文的做法提出要利用不同區域的特性,來施加不同程度的無窮範數擾動上限約束。該約束的計算依賴於不同軸向的像素飽和度等級(一般來說,某區域的色彩越純,越是高度飽和。)
這三種不同的攻擊方式的視覺可見性如下:
可以看出,本文方法在視覺上的擾動是最輕的。
下標是實驗效果對比,CornerSearch代表本文方法。
